サポート切れOSに必要なセキュリティ対策とは?

公開日:

更新日:

レガシーOS
   

Morphisecライターチームです。

サポートの切れたOSは、ベンダからのアップデートやセキュリティパッチが提供されないため、使用し続けることでセキュリティリスクが増加してしまいます。

サポート切れOSのリスクを抑えるためのセキュリティ対策としては、OSのアップグレード、延長サポートの活用、セキュリティ製品の導入、ハードウェアの入れ替えなどがありますが、コストや発生する作業でなかなか最新のOSに移行しにくいのではないでしょうか?

本記事では、「サポート切れOSを使用することによるリスクは」「サポート切れのOSをウイルスから保護したい!」という方に向けて解説していきます。

目次

OSのサポートとは

OSのサポートとは、マイクロソフト社が提供している「Windows OS」であれば、OSの不具合の修正や機能のアップデートなどを無償提供する仕組みのことを指します。

受けられるサポートの内容は、OSを購入後に無償で提供されるものもあれば、有償契約を結ぶことでサポートを受けられる内容もあります。

無償でサポートを受けられる例として、セキュリティ脆弱性に対する修正プログラム(セキュリティパッチ)やマイクロソフト社がリリースしている「Windows10」や「Windows11」に搭載されている、Microsoft Defender※の更新プログラムが思い当たります。

※Microsoft Defenderについて、「Windows7」や「windows8.1」のOSでは、Windows Defenderという名称です。

また、アップル社が提供しているOSであれば「Mac」やOS自体が無料で利用可能な「Linux」など、OSの種類により受領できるサポート内容はそれぞれ異なります。

OSのサポートが終了するとどうなるの?

OSのサポートが終了すると、提供ベンダからの不具合の修正や機能のアップデートが提供されない、サポート範囲外のOSとなります

更に、OS不具合を修正するためのパッチ提供も受けられなくなるため、セキュリティリスクが大幅に高まります。

サイバーセキュリティに関する情報提供や防衛策の策定・実施などを行っているCISA(アメリカ合衆国サイバーセキュリティ・インフラストラクチャ・セキュリティ局)が、「サポートされていないソフトウェアへの依存」をセキュリティ上の悪習慣の1位にランク付けしていることから、海外でも大きな問題となっていることが分かります*1。

OSのサポート期間は提供ベンダに異なりますが、今回は多くの方が利用されているマイクロソフト社のWindows OSのサポート期間を見てみましょう。

マイクロソフト社が提供するWindowsのサポート期間には、大きく分けて2種類あるのをご存知でしょうか。

  • メインストリームサポート:OS発売後、最低5年間のサポート
  • 延長サポート:メインストリームサポートの終了後、最低5年間のサポート

OS発売後の最低5年間はメインストリームサポート期間で、セキュリティ更新プログラムや新機能の追加、脆弱性を修正する修正パッチが提供されます。

メインストリームサポートの期間が終了後は延長サポート期間となり、新機能の追加は行われなくなりセキュリティアップデートのみが提供されます。

延長サポートのサポート期間は、メインストリームサポートの終了後最低5年間ですが、延長サポートも終了した後はセキュリティアップデートすら行われなくなってしまいます。

2023年を軸として「Windows Server2012」「Windows Server2015」「Windows Server2019」におけるサポートの種類をまとめてみました。

WindowsOSのサポート期間

OSのサポートが切れるとセキュリティリスクが高い

OSのサポートが切れたとしても、OS自体を利用し続けることは可能です。

しかし、OSのサポートが切れた状態でPCやサーバを使い続けることによるデメリットとして、次のようなリスクが考えられます。

ゼロデイ攻撃などの脆弱性を狙った攻撃を受けるリスク

ゼロデイ攻撃とは、ソフトウェアで不具合になっている部分(セキュリティホール)に対して修正パッチが公開される前に、その不具合を狙って行われるサイバー攻撃の総称です。

ゼロデイ攻撃とは、ソフトウェアで不具合になっている部分(セキュリティホール)に対して修正パッチが公開される前に、その不具合を狙って行われるサイバー攻撃の総称

セキュリティ更新プログラムはセキュリティパッチとも呼ばれ、脆弱性を修正するための更新プログラムとなります。

セキュリティパッチはサイバー攻撃からOSを守るために重要な役割を担っていますが、サポートが切れたOSにはセキュリティパッチが提供されません。

そのため、新たに発見された脆弱性が修正されず、攻撃者にとっての侵入経路となる可能性が高くなってしまいます。

ハードウェアの老朽化による業務停止のリスク

サポート切れのOSを使用し続けるということは、同時にOSを操作するためのハードウェアも老朽化している可能性が考えられます。

ハードウェアが老朽化している場合、故障や動作不良など、業務に影響を与えるリスクが生じる可能性があるでしょう。

最悪の場合、業務停止に至る可能性も考えられます。

サポート切れOSの一般的なセキュリティ対策

前述したとおり、サポート切れOSを使い続けることには複数のリスクを伴います。

しかし、サポート切れOSに有効なセキュリティ対策を施すことで、リスクの軽減や延命措置を行うことも可能です。サポート切れOSに有効なセキュリティ対策には、どのようなものがあるのでしょうか。

OSのアップグレード

OSの提供ベンダがサポートしているバージョンへOSをアップグレードすることによって、随時アップデートプログラムやセキュリティパッチの提供を受けることができるようになるため、セキュリティの強化に繋がります。

ただし、OSのアップグレードに伴うライセンス購入や多くの端末への導入作業などの工数を要し、作業費用が高額になる場合があります。

また、業務繁忙により対応期間が取れない可能性や、アップデートする新バージョンのOSが既存の業務システムやソフトウェアと互換性がない可能性もあるため、社内での調整や影響調査などが必要になります。

このような場合、OSのアップグレードは困難を極めるでしょう。

さらに、OSのアップグレードをするためにはハードウェアや周辺機器との互換性があることも必要な条件です。

何年も前に製造されたPCなどのデバイスに新しいOSをインストールしたとしても、そのハードウェアとOSに互換性がないとそもそもアップデート自体ができない場合や、アップデートができたとしてもハードウェアの誤動作を引き起こす場合があるからです。

実際に、2021年に発表されたWindows 11では、互換性の無いハードウェアへのインストールが推奨されていません※2

延長サポート

提供ベンダのOSサポートとは別に、法人向けにベンダでない企業が延長サポートサービスを提供している場合があります。もちろん有償での提供ですが、こうした延長サポートを受けることでOSの延命措置を講じることも可能です。

ただし、延長サポートにも期限があるうえに年々サポート費用が上昇する可能性もあるため、すぐにOSのアップグレードができない場合の延命措置としての利用が望ましいと言えます。

ウイルス対策ソフトを導入する

サポート切れOSのセキュリティを強化する策の1つにセキュリティ製品の導入があります。

しかし、一般的なセキュリティ製品はエージェントのメモリ使用量が100MBを超えるものが多く、メモリ容量不足が原因でセキュリティソフトが充分に機能しないことがあります。

また、サポートの切れているOSの場合、ウイルス対策ソフトがOSに対応していないことも多く、インストールそのものができないといったことも考えられます。

手軽に感じるウイルス対策ソフトの導入も、サポート切れのOSを対象とした場合には難しいケースがあることに注意しなければなりません。

ハードウェアを替える

OSを新しいハードウェアに移行することで、ハードウェアの老朽化に伴う故障や動作不良を防止することが可能です。

サポート切れOSの新しいハードウェアへの移行は、OSのバックアップイメージを新しいハードウェアの上で仮想マシンとして動作させることで実現できます。

しかし、ハードウェアだけ替えたとしてもサポート切れOSに存在している脆弱性への根本的な対策とは言えないため、最終的にはOSのアップグレードが必要になるでしょう。

サポート切れOSに適したウイルス対策ソフト

サポート切れOSのセキュリティ強化についてこれまで述べてきましたが、どれほどセキュリティ対策の強化を試みても、昨今のサイバー攻撃手法は日々巧妙化し続けているためサイバー攻撃を100%防御することは不可能だと言えます。

このことから、サイバー攻撃による被害を受けないためには万が一サポート切れOSに攻撃を受けた場合にも、被害を回避できるように備えておくことが重要ではないでしょうか。

当社ではそのような企業の方へMorphisecという製品をご提案しています。

Morphisecは、攻撃を成立させないMoving Target Defense MTD)という防御手法を採用しており、サポートの切れたPCおよびサーバの保護に適したウイルス対策ソフトです。

Morphisecが搭載しているMTDの防御では、サプライチェーン攻撃、ゼロデイ攻撃、ファイルレス攻撃(インメモリ攻撃)などの攻撃からサポート切れのOS端末を保護します

もし、サポートの切れたOSをご利用している方がいらっしゃいましたら、1度、当社までお問合せください。

出典(参考文献一覧)

※1 CISA | Bad Practices (参照日:2023-09-19)
※2 Microsoft |Installing Windows 11 on devices that don't meet minimum system requirements (参照日:2023-09-19)